Danny Weber
Säkerhetsforskare upptäcker allvarlig sårbarhet i AI-agenter som GitHub Copilot, vilket kan leda till läckage av känslig data. Läs om attackmetoden och riskerna.
Säkerhetsforskare från Johns Hopkins University har upptäckt en allvarlig sårbarhet i AI-agenter som används inom GitHub Actions. Bristen påverkar lösningar från Anthropic, Google och Microsoft, inklusive verktyg som GitHub Copilot.
Teamet, lett av Aonan Guan, demonstrerade en ny attackmetod där man injicerar skadliga instruktioner direkt i pull request-text och kommentarer. AI-agenter bearbetar automatiskt dessa data som en del av sina uppgifter, vilket kan leda till att de kör inbäddade kommandon och publicerar resultat som kan innehålla konfidentiell information.
Tekniken, som fått namnet Comment and Control, innebär att en angripare lägger till dolda eller förklädda kommandon i beskrivningar eller kommentarer. Agenten kör sedan dessa i GitHub-miljön, vilket riskerar att läcka åtkomsttoken, API-nycklar och annan känslig data direkt till offentliga svar.
Ett av de första målen var Anthropics säkerhetsverktyg. Forskarna fann att det behandlar pull request-titlar som pålitlig kontext, vilket tillåter kommandon som "whoami" att köras med resultat som postas som kommentarer. Efter att ha demonstrerat allvarligare scenarier, inklusive läckage av API-nycklar, erkände företaget problemet med en kriticitetsgrad på 9,4 och lade till en varning i sin dokumentation.
En liknande metod fungerade mot Googles lösning. Genom att infoga ett falskt "trusted content"-block i en kommentar kringgick forskarna inbyggda begränsningar och tvingade fram publicering av en GEMINI_API_KEY-variabel. Google erkände fyndet och betalade en belöning.
GitHub Copilot från Microsoft visade sig vara mest motståndskraftig, men även den kringgicks. Angripare använde dolda HTML-kommentarer som är osynliga för användare men tillgängliga för AI-bearbetning. Trots initiala påståenden om att problemet redan var känt betalade även Microsoft en belöning efter attackdemonstrationen.
Det är anmärkningsvärt att ingen av företagen offentliggjorde sårbarhetsidentifierare eller publicerade detaljerad användarvägledning. Enligt forskarna skapar detta ytterligare risk eftersom utvecklare kan fortsätta använda sårbara verktygsversioner utan medvetenhet om hotet.
© RusPhotoBank